安全漏洞管理底子知识篇[网络技术]

安全从业人员不能捕捉到一切事情.但是,通过把安全漏洞管理细分为一些基本的部份,就有大概实现更有效率的防备.参与上个月"SANS波士顿2010"会议的首席安全官都在探求这些基本的部份.接下来的就是关于安全漏洞管理的三部份系列文章的第一部份.这是按照SANS Institute总裁Stephen Northcutt的一个培训课程整理的.这个课程的标题是" SANS Security Leadership Essentials for Managers with Knowledge Compression".

在介绍全部的安全漏洞管理工具和技术之前(这些技术将在今后的两篇文章中介绍),我们首先熟习一下安全漏洞管理毕竟是什么.

安全漏洞管理的五个原理

Northcutt说,要理解安全漏洞管理,首先考虑一下安全漏洞管理的五个原理:

·安全漏洞是威胁施展破坏作用的关口.

·没有补偿办法的安全漏洞扫描是没有意义的.

·极少的扫描和补偿办法要好过举行很多扫描和没有补偿办法.

·需求修复的安全漏洞必须优先考虑对网络安全有直接威胁的那些安全漏洞.

·安全从业人员需求一个流程,答应他们不断测试安全漏洞以便更常常和有效地供应补钉.

Northcutt夸大从小做起的代价.他指出,一次做较少的扫描然后举行修补的一个来由是避免呈现你理解大量安全漏洞的情形.假如你理解到那个情形并且没有采纳补偿办法,你的机构就没有尽责.

Northcutt说,假如发生数据泄露,并且回溯到这家公司已经知道但是没有修复的安全漏洞,后果将非常严重.这是在法院考虑惩罚性补偿丧失的阶段会考虑的一个因素.

主要威胁载体

Northcutt接着说,辨认一个机构必须关心的主要威胁载体是重要的.这些载体有:

·来自网络的外部攻击.

·来自网络(虚拟专用网)的内部攻击.

·来自电话的外部攻击.

·来自本地网络的内部攻击.

·来自本地系统的内部攻击.

·来自恶意软件的攻击.

最耽忧的是Northcutt所说的"支点的力气".全部的攻击者都需求一个安身点.假如存在一个可以从机构外部进入的没有修复的安全漏洞并且操纵了这个安全漏洞,这个系统便可以用作攻击同一个网络中的别的系统的跳板大概"支点".

心理学问题

要让企业官员理解安全漏洞管理的重要性,重要的是用他们可以理解的语音发言.不要注释一个软件安全漏洞的具体位置在那边大概需求什么具体的技术.Northcutt说,重要的是直接指出那些可以让企业官员晚上睡不着觉的东西.

老板会耽忧什么?Northcutt供应了以下例子:

·Web服务器被攻破会使机构成为笑柄.

·Web服务器被攻破大概泄露客户的隐私数据,从而招致法律诉讼和更糟的情形.

·内部人员出于愤恨大概想干坏事,如设置逻辑炸弹.

·内部人员感受自己有权大概出卖公司的商业奥秘.

·员工很简单被社交工程手段拐骗,将会向媒体泄露敏感的数据.

·黑客进入公司的系统大概找到公司做错事的证据,然后操纵这些证据欺诈公司.

要理解这个事情的严重性,安全从业人员需求从三个方面对待这个挑衅.从外部的角度看,仿佛你是互联网上的一个外部人员在察看你的机构;从内部的概念看,重点是观察系统设置能否得当;从用户的角度看,用户主要在网络内部通过Web和电子邮件拜候互联网.

为什么机构需求从这三个角度察看问题呢?Northcutt指出,因为:

·大大都机构仅利用Core Impact、Nessus大概NeXpose等扫描器完成外部的察看.

·假如用户可以拜候互联网并且点击了恶意网站,他或她的系统就有大概被用来攻击仿佛不大概攻破的系统.

·多年以来,SCADA安全模子是,假如你没有衔接到互联网,你就没有任何要耽忧的事情.由于SCADA系统越来越多地衔接到互联网,确切有很多令人耽忧的东西.

考虑到这些事情,Northcutt说,目前恰是随便观察各种扫描器和入侵技术的时刻.

本系列文章的第二部份重点介绍可用的扫描器、扫描器的彼此辨别以及若何肯定哪一种扫描器最合适你的机构.第三部份摸索肯定哪些安全漏洞风险最大的办法以及若何肯定补钉的优先次序.